數(shù)據(jù)泄露從來不是什么好事兒，但即便有最佳防御操作，該發(fā)生的還是會(huì)發(fā)生。一旦泄露事件發(fā)生，我們需要考慮的是該如何恰當(dāng)處理。

[[241812]]

8月24日上午，T-Mobile給用戶發(fā)了一封短信：“T-Mobile MSG：您好，我們識(shí)別并阻止了對(duì)您信息的未授權(quán)捕獲。沒有財(cái)務(wù)信息、身份證號(hào)被盜走，但一些個(gè)人信息或許有所泄露。”并在短信中附了一個(gè)通往T-Mobile安全聲明的鏈接

(https://www.t-mobile.com/customers/6305378821)，聲明中所說內(nèi)容與短信基本相同。

遭受數(shù)據(jù)泄露固然不是什么好事兒，但越深入分析整個(gè)事件，就難免會(huì)越感謝T-Mobile發(fā)出的這條警告。原因正在于，T-Mobile干了件似乎永遠(yuǎn)不會(huì)發(fā)生的事。簡(jiǎn)言之，T-Mobile發(fā)現(xiàn)了入侵，阻止了數(shù)據(jù)泄露，然后立即通知了客戶。

T-Mobile至今對(duì)如何抓獲該黑客的情況守口如瓶，但很明顯，該公司有一套很有效的入侵檢測(cè)機(jī)制。而且，這家公司也有能力在發(fā)現(xiàn)入侵者后將之踢出公司系統(tǒng)，這一點(diǎn)不是每家公司都能做到的。

T-Mobile發(fā)言人表示已沒有進(jìn)一步的威脅，但未就黑客身份做進(jìn)一步的解釋，也沒有詳細(xì)描述該公司是怎么響應(yīng)這次數(shù)據(jù)泄露的。

致電T-Mobile客服熱線打聽數(shù)據(jù)泄露詳細(xì)情況的結(jié)果是，該公司幾乎即時(shí)修復(fù)了相關(guān)安全問題，客戶只有姓名和郵編被盜走了。

收到T-Mobile通告泄露事件的短信后，一大堆警告有關(guān)嚴(yán)重后果的郵件幾乎淹沒了用戶郵箱。這些郵件來自自稱能緩解該數(shù)據(jù)泄露，保護(hù)客戶數(shù)據(jù)，或者推銷客戶根本不需要的一些付費(fèi)服務(wù)的公司。

但因?yàn)樾孤兜钠茐男院苄?，被盜信息也基本上是公開的，所以受影響客戶基本沒什么安全風(fēng)險(xiǎn)。

數(shù)據(jù)泄露值得汲取的兩個(gè)經(jīng)驗(yàn)教訓(xùn)：

(1) 所謂的幫助，尤其是那些數(shù)據(jù)泄露聲明放出后不久發(fā)來的，基本上沒什么用。

用戶郵箱中收到的各式各樣幫助郵件，通常來自于除了高價(jià)通用建議以外并沒有什么有用措施可以提供的公司。

(2) 數(shù)據(jù)泄露并非全都影響甚廣，也有沒人遭受侵害，且各方都負(fù)責(zé)任地加以處理的情況。

T-Mobile案例中，母公司德國(guó)電信位于歐洲，所以要遵守GDPR有關(guān)數(shù)據(jù)泄露的要求。

雖然歐洲半數(shù)國(guó)家及聯(lián)邦政府都有及時(shí)向公眾或股東報(bào)告數(shù)據(jù)泄露的要求，GDPR是嚴(yán)格規(guī)定了數(shù)據(jù)泄露事件必須在72小時(shí)內(nèi)報(bào)告當(dāng)局，T-Mobile遵守了該要求。

GDPR還要求數(shù)據(jù)泄露的主體，本案例中也就是客戶，要接到“沒有不當(dāng)延遲”的通知。T-Mobile通過向每一位受影響人士發(fā)送短信通知做到了這一點(diǎn)。

雖然T-Mobile美國(guó)是否受GDPR管轄尚未明確，其母公司肯定是要遵從GDPR的，而T-Mobile美國(guó)公司顯然遵守了那些規(guī)則。該公司還宣稱已經(jīng)修復(fù)了導(dǎo)致泄露的問題。

該案例明顯昭示出歐盟GDPR規(guī)則影響到美國(guó)移動(dòng)服務(wù)提供商時(shí)會(huì)發(fā)生的情況：公司執(zhí)行了自己本應(yīng)遵守的合規(guī)操作。

還有一點(diǎn)：T-Mobile表現(xiàn)出了在規(guī)定時(shí)間內(nèi)檢測(cè)數(shù)據(jù)泄露、修復(fù)漏洞并通知受影響客戶的能力。GDPR在今年5月25日生效后，公司企業(yè)冒出的難以遵從快速響應(yīng)要求的抱怨，相比之下，顯得毫無道理。

如何規(guī)劃處理不可避免的安全事件呢?

• 可靠的安全監(jiān)視顯然應(yīng)該納入計(jì)劃之中，入侵檢測(cè)系統(tǒng)也應(yīng)作為安全組合拳中的一環(huán)。另外，還需具備事件發(fā)生時(shí)的客戶通告計(jì)劃，包括公司做了什么，以及公司打算怎么預(yù)防類似事件。
• 最好的規(guī)劃起點(diǎn)，就是假設(shè)公司邊界會(huì)被(可能已經(jīng)被)突破。問問自己，進(jìn)入公司內(nèi)部的攻擊者能找到什么?會(huì)怎么找到這些東西?如果客戶記錄之類的東西能被入侵者在突破防線后輕易找到，那你要么換個(gè)地方放，要么至少通過散列或加密的方法讓這些數(shù)據(jù)不那么直白可讀。
• 問問自己，攻擊者會(huì)怎么將數(shù)據(jù)從你的網(wǎng)絡(luò)中運(yùn)出去?你有辦法檢測(cè)未授權(quán)系統(tǒng)的大文件傳輸嗎?黑客常會(huì)將數(shù)據(jù)隱藏在內(nèi)部網(wǎng)絡(luò)的某個(gè)地方，直到找到機(jī)會(huì)滲漏出去。只要知道該到什么地方查找，你就能阻止數(shù)據(jù)滲漏。
• 最重要的是，要知道你可以阻止數(shù)據(jù)泄露，不用理會(huì)那些解釋自己為什么無法阻止的借口。借口不能防止泄露，但一些主動(dòng)作為，結(jié)合上恰當(dāng)?shù)挠?jì)劃，可以阻止數(shù)據(jù)泄露傷害公司的信譽(yù)和盈利。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文